Smishing: los mejores consejos para luchar contra el phishing por SMS

El término smishing surge de unir los elementos SMS y phishing. De manera similar al phishing, los ciberdelincuentes que envían estos mensajes se hacen pasar por representantes de una empresa u organización fiable, solo que, en lugar de correos electrónicos, utilizan SMS (Short Message Service). Estos mensajes de móvil sirven, o bien para instar a la víctima a revelar datos de su cuenta, o bien para instalar malware y troyanos en su móvil sin que se percate.

Si bien con esta definición de smishing podría pensarse que tales mensajes son fácilmente identificables, lo cierto es que no siempre es sencillo reconocer un SMS de phishing. Los ciberdelincuentes saben cómo manipular las emociones de la víctima para llevarla a cometer acciones irracionales. En nuestro artículo te damos algunos consejos y te explicamos cómo actúan los smisher. Te mostramos también qué forma suele tener un SMS de phishing y cómo puedes comprobar la autenticidad del mensaje.

Los llamados smisher han desarrollado diferentes maneras para conseguir información de los usuarios de smartphones, pero el patrón siempre es el mismo: el emisor del mensaje se hace pasar por un representante de una empresa o un conocido de la víctima y le cuenta alguna historia que la motive a comunicar sus datos personales o a descargar, sin saberlo, algún tipo de malware. Este componente de carácter personal es clave para que el smishing funcione y se conoce también bajo el nombre de ingeniería social (social engineering). El atacante intenta transmitir un sentimiento de especial confianza para así manipular emocionalmente a la víctima, que debe tener la impresión de que lo mejor que puede hacer en tal situación es seguir las indicaciones del mensaje y olvidarse de cualquier tipo de medida preventiva.

En los párrafos siguientes te presentamos los componentes más característicos de un SMS de phishing para que te hagas una idea de cómo funcionan estos mensajes fraudulentos y sepas en qué fijarte para comprobar si se trata de un SMS auténtico.

Es todo un clásico del smishing: un mensaje corto, escrito como si el emisor fuera un amigo, y que pretende despertar la curiosidad del receptor para que haga clic en el enlace que contiene. Al hacer clic en dicho enlace, se descarga de fondo automáticamente un programa que da al atacante acceso al móvil. Si se trata de un smisher profesional, la víctima no se percata en absoluto de la descarga y, por lo tanto, tampoco del peligro que corren sus datos personales.

Una conocida técnica del phishing por correo electrónico es incitar a las personas a visitar una página web usando un formulario como cebo. Este modo de proceder también se da en forma de smishing: los delincuentes incluyen en el mensaje de texto un enlace que lleva a un formulario. Cuando la víctima introduce sus datos en dicho formulario, estos se envían directamente al delincuente. Esta técnica es muy popular, sobre todo, cuando se trata de obtener datos de cuentas de banco o de tarjetas de crédito. El SMS enviado suele hablar de un problema de seguridad que supuestamente requiere que se indiquen inmediatamente los datos del usuario.

La variante de esta técnica llamada spear smishing (que podría traducirse como smishing con lanza) dirige el ataque hacia una persona específica. Para hacerlo, los atacantes reúnen en primer lugar información, por ejemplo, de los perfiles de la víctima en las redes sociales. Basándose en los datos obtenidos, redactan un SMS de phishing a medida de la víctima, añadiendo incluso datos personales. Tanto el spear phishing, es decir, el robo de datos mediante correos electrónicos personalizados, como el spear smishing, consiguen así que sus mensajes resulten especialmente creíbles.

El smishing también se usa para lograr que el cliente llame a una supuesta línea de atención al cliente de una empresa que se indica en el mensaje. Una vez al teléfono, el atacante tratará de sonsacarle información. Esta técnica da a los delincuentes la ventaja de resultar muy creíbles. Puesto que es habitual que los usuarios desconfíen, y con razón, a la hora de introducir sus datos en un formulario online, la desviación a una llamada telefónica se usa para dar la impresión de seriedad. De hecho, existe el llamado vishing (voice phishing), un método similar con el que los delincuentes tratan de conseguir datos sensibles mediante llamadas directas por VoIP.

Los intentos de smishing siempre suelen tratar de convencerte de que ha ocurrido un accidente o un problema que requiere acciones inmediatas. Por lo tanto, no actúes nunca precipitadamente: en lugar de eso, examina atentamente el SMS. A continuación, hemos reunido los criterios más significativos que te permiten distinguir un SMS auténtico de un SMS de phishing. Todos tienen en común una cuestión: ¿cuán auténticos son el emisor y el contenido del SMS?

Consejo 1. Fíjate en si hay errores de ortografía o de gramática. Muchos ciberdelincuentes actúan en diferentes países y utilizan para ello herramientas de traducción automática, lo cual suele hacerse patente en los mensajes de texto que envían.

Consejo 2. Comprueba el número de teléfono desde el que se envía el mensaje para ver si realmente pertenece a la supuesta empresa. Ten en cuenta, sin embargo, que solo porque el número parezca auténtico, no significa que el mensaje también lo sea: los smisher pueden usar la llamada técnica del spoofing para lograr que aparezca un número falso.

Consejo 3. Pregúntate en qué situaciones es apropiado usar los SMS como medio de comunicación. Un banco, por ejemplo, nunca avisaría de un problema por SMS. Incluso la probabilidad de que te avisen por SMS de que has ganado algún tipo de lotería es prácticamente nula.

Consejo 4. No introduzcas, en ningún caso, datos financieros o de pago en webs ni en formularios que aparezcan enlazados en un SMS. Tampoco hagas nunca clic en enlaces de remitentes desconocidos o de personas en las que no confíes plenamente. Desconfía, especialmente, de mensajes que te insten a hacer algo urgentemente.

Consejo 5. Instala un programa antivirus en tu smartphone y mantenlo siempre actualizado. Este tipo de software de seguridad no garantiza que el teléfono no pueda ser infectado con software malicioso, pero sí supone un aumento de la seguridad al que no se debería renunciar.